[发明专利]指定访问控制策略

权利要求书

1.一种用于指定访问控制策略的系统，包括：

-用户接口(13)，其用于使用户能够指定多个包括主体属性、客体、行动和授权的策略规则，所述策略规则定义访问控制策略(10)；

-转换模块(9)，其用于将所述访问控制策略转换为机器可读数据访问控制策略语言，以获得转换后的数据访问控制策略(14)；以及

-输出(11)，其用于将所述转换后的数据访问控制策略提供给访问控制策略实施单元(50)。

2.根据权利要求1所述的系统，还包括：

冲突检测模块(2)，其用于检测分别指示可能的访问请求的拒绝和允许的至少两个冲突的策略规则。

3.根据权利要求2所述的系统，其中，所述冲突检测模块(2)被设置用于检测分别指示由特定主体对特定客体的特定类型访问的拒绝和允许的冲突的策略规则。

4.根据权利要求2所述的系统，还包括：

冲突解决模块(5)，其用于解决在所述至少两个冲突的策略规则中的所述冲突以获得校正的访问控制策略，所述冲突解决模块(5)包括：

-冲突指示模块(6)，其用于向用户指示与所述冲突有关的信息，以及

-冲突解决输入(7)，其用于从用户获取指示冲突解决的信息。

5.根据权利要求4所述的系统，所述冲突解决模块(5)还包括自动冲突解决模块(8)，其用于将预定的一组冲突解决规则应用到所述冲突的策略规则以解决所述冲突，如果所述一组冲突解决规则不足以解决所述冲突，则应用所述冲突解决输入(7)。

6.根据权利要求4所述的系统，所述冲突解决输入(7)包括：

用于从所述用户获取指示一个冲突策略规则相对于另一个冲突策略规则具有优先权的信息的模块(12)。

7.根据权利要求6所述的系统，所述冲突检测模块(2)包括：

用于检测在由所述用户指示的策略规则的优先权中的不一致性的模块(4)。

8.根据权利要求1所述的系统，所述用户接口(13)被设置用于以决策表的形式表示所述访问控制策略(10)。

9.根据权利要求2所述的系统，在由所述用户增加或改变策略规则之后，激活所述冲突检测模块(2)。

10.根据权利要求2所述的系统，所述冲突检测模块(2)被设置用于基于在至少一个所述冲突的规则中涉及的主体属性，检验两个规则是否应用于相同的主体。

11.根据权利要求1所述的系统，所述机器可读安全策略语言包括可扩展访问控制标记语言XACML。

12.根据权利要求1所述的系统，还包括所述访问控制策略实施单元(50)，所述访问控制策略实施单元(50)包括：

-访问控制策略输入(51)，其用于接收所述转换后的访问控制策略；以及

-策略实施模块(52)，其用于实施所接收的访问控制策略。

13.根据权利要求12所述的系统，所述输出(11)被设置用于通过广域网将所述转换后的访问控制策略(14)发送到所述访问控制策略实施单元(50)，所述访问控制策略实施单元(50)远离所述用户接口(13)、转换模块(9)和输出(11)。

14.一种用于指定访问控制策略的方法，包括：

-使用户能够(201)指定多个包括主体属性、客体、行动和授权的策略规则，所述策略规则定义访问控制策略；

-将所述访问控制策略转换(202)为机器可读数据访问控制策略语言，以获得转换后的数据访问控制策略；以及

-将所述转换后的数据访问控制策略提供(203)给访问控制策略实施单元。

15.一种计算机程序产品，其包括用于使处理器系统执行根据权利要求14所述的方法的步骤的计算机可执行指令。